Sicherheit agenter Anwendungen: OWASP Top 10 und das tödliche Triade-Modell
Die Triade ist eine einfache Checkliste, um Risiken zu erkennen: vertrauliche Daten (Datenbanken, Geheimnisse), unvertraute Eingaben (Webinhalte, E-Mails) und ausgehende Kanäle (HTTP, E-Mail). Wenn alle drei Komponenten zusammenwirken, kann indirektes Prompt-Injektion zu Datenlecks führen. Strategie: Mindestens eine Verbindung unterbrechen oder starke Kontrollmechanismen implementieren.
- Vertrauliche Daten: Just-in-time-Zugriff, kurzlebige Token, Datensparsamkeit.
- Externe Kommunikation: Domain-Whitelists, DLP, menschliche Überprüfung bei Ausgangsaktionen.
- Unvertraute Inhalte: Quellen-Kennzeichnung, Trennung von Daten und Steuerung, Policy-Gates.
- Persistente Speicherung: TTLs, Vertrauensbewertung, Namensräume pro Mandant.
Prüfe bei jeder Überprüfung die Triade: Unbeschränkter Zugriff? Zeit zum Neuentwerfen.
OWASP Agentic Top 10: Risiken und Gegenmaßnahmen
ASI01 Zielmanipulation durch Agenten. Angriff: Indirekte Injektion über Tool-Ausgaben. Schutz: Policy-Gates, hohe-Belastungs-Approvals, Zielabweichungs-Logging, Quellen-Kennzeichnung.
ASI02 Missbrauch von Tools. Angriff: Bösartige Parameter in Abläufen. Schutz: Tool-Whitelists, Begrenzung des Schadensradius, Kettendurchdringungserkennung.
ASI03 Identitätsmissbrauch. Angriff: Token-Wiederverwendung, transitive Berechtigungen. Schutz: JIT-Token, aufgabebezogene Rechte, erneute Validierung.
ASI04 Lieferkette. Angriff: Beschreibungskompromittierung. Schutz: Versionsfixierung, Artefakt-Signatur, Quellen-Whitelists.
ASI05 Unerwartete RCE. Angriff: Eval-Injektion. Schutz: Ausführungsisolation, kein Netzwerkzugriff per Default, Trennung von Generierung und Ausführung.
Vertiefung: Bedrohungen durch Speicherung und Kommunikation
ASI06 Speicher-Vergiftung. Angriff: RAG-Vergiftung mit dauerhaften Folgen. Schutz: Mandanten-Segmentation, TTLs, Quarantäne-Rückgängigmachung.
ASI07 Inter-Agenten-Kommunikation. Angriff: Spoofing, Replay-Angriffe. Schutz: mTLS, Nachrichtensignatur, Nonce/Timestamps.
ASI08 Kaskadenfehler. Angriff: Fehlerpropagation. Schutz: Trennung von Planer und Ausführer, Circuit Breaker, Herkunftstracing.
ASI09 Menschliches Vertrauen. Angriff: Zustimmungsmangel. Schutz: Mehrstufige Approvals, mehrfache Bestätigungen.
ASI10 Rogue Agents. Angriff: Zielabweichung. Schutz: Abschaltmechanismen, Verhaltensbaselines, regelmäßige Reviews.
Einstiegspunkte: Benutzereingaben, RAG, Tools. Die Planung setzt Ziele, der Speicher baut Vertrauen, die Inter-Agenten-Kommunikation benötigt stabile Protokolle.
Praxisbeispiele aus der Produktion
Unternehmens-E-Mail/Dokumenten-Agent (ASI01–03,09).
Risiken: E-Mails als Anweisungen, Berechtigungswachstum, Operator-Bias.
Maßnahmen:
- Lesen und Ausführen trennen.
- Explizite Genehmigung für Ausgänge.
- Handlungs-Herkunftstracing.
RAG-Agent mit Wissensdatenbank (ASI06,08).
Risiken: Unvertraute Datenzufuhr, schleichende Vergiftung.
Maßnahmen:
- Vertrauensbewertung basierend auf Quelle.
- TTLs und Rückgängigmachung.
- Mandanten-Isolation.
Tool-Orchestrator (ASI02,04,05,07,10).
Risiken: Bösartige Tool-Aufrufe, Lieferkettenangriffe, Kaskaden.
Maßnahmen:
- Whitelist pro Tool.
- Herkunftsnachweise.
- Quoten und Policy-Gates.
Umsetzungsroadmap
Phase 1: Inventur (Triade-Audit), Sperre von Ausgängen, Logging aktivieren.
Phase 2: Policy-Gates, JIT-Token, hohe-Belastungs-Approvals.
Phase 3: Speichersegmentierung, Herkunftstracing, Incident-Response (Abschaltmechanismen).
Dieser schrittweise Ansatz reduziert Risiken ohne vollständigen Neubau.
Wichtige Erkenntnisse
- Die Triade bricht tödliche Ketten: mindestens einen Faktor minimieren.
- OWASP Top 10 zielt auf die Übergänge von Daten zu Anweisung zu Aktion ab.
- Injektionsdetektoren sind Zusatzfeatures – Architektur ist König.
- Herkunftstracing und Anomalieerkennung sind Pflicht bei Kaskaden.
- Verhaltensbaselines und Abschaltmechanismen bewältigen rogue Agents.
— Editorial Team
Noch keine Kommentare.